第08章 身份認(rèn)證、訪問控制與系統(tǒng)審計(jì)

1、第8章 身份認(rèn)證、訪問控制與系統(tǒng)審計(jì) Network and Information Security圖8-1 經(jīng)典安全模型 8.1 計(jì)算機(jī)安全模型 Network and Information Security經(jīng)典安全模型包含如下基本要素：(1) 明確定義的主體和客體；(2) 描述主體如何訪問客體的一個(gè)授權(quán)數(shù)據(jù)庫；(3) 約束主體對(duì)客體訪問嘗試的參考監(jiān)視器；(4) 識(shí)別和驗(yàn)證主體和客體的可信子系統(tǒng)；(5) 審計(jì)參考監(jiān)視器活動(dòng)的審計(jì)子系統(tǒng)。Network and Information Security可以看出，這里為了實(shí)現(xiàn)計(jì)算機(jī)系統(tǒng)安全所采取的基本安全措施，即安全機(jī)制有身份認(rèn)證、訪問控制和

2、審計(jì)。 參考監(jiān)視器是主體/角色對(duì)客體進(jìn)行訪問的橋梁.身份識(shí)別與驗(yàn)證，即身份認(rèn)證是主體/角色獲得訪問授權(quán)的第一步，這也是早期黑客入侵系統(tǒng)的突破口。訪問控制是在主體身份得到認(rèn)證后，根據(jù)安全策略對(duì)主體行為進(jìn)行限制的機(jī)制和手段。審計(jì)作為一種安全機(jī)制，它在主體訪問客體的整個(gè)過程中都發(fā)揮著作用，為安全分析提供了有利的證據(jù)支持。它貫穿于身份認(rèn)證、訪問控制的前前后后。同時(shí)，身份認(rèn)證、訪問控制為審計(jì)的正確性提供保障。它們之間是互為制約、相互促進(jìn)的。 Network and Information Security圖8-2 安全機(jī)制Network and Information Security訪問控制模型基本結(jié)

3、構(gòu)Network and Information Security8.2 身份認(rèn)證在有安全需求的應(yīng)用系統(tǒng)中，識(shí)別用戶的身份是系統(tǒng)的基本要求，身份認(rèn)證是安全系統(tǒng)中不可缺少的一部分，也是防范入侵的第一道防線。身份認(rèn)證的方法多種多樣，其安全強(qiáng)度也各不相同，具體方法可歸結(jié)為3類：根據(jù)用戶知道什么、擁有什么、是什么來進(jìn)行認(rèn)證。用戶知道什么，一般就是口令、用戶標(biāo)識(shí)碼（Personal Identification Number, PIN）以及對(duì)預(yù)先設(shè)置的問題的答案；用戶擁有什么，通常為令牌或USB key；用戶是什么，這是一種基于生物識(shí)別技術(shù)的身份認(rèn)證，分為靜態(tài)生物認(rèn)證和動(dòng)態(tài)生物認(rèn)證，靜態(tài)生物認(rèn)證包括：指

4、紋識(shí)別、虹膜識(shí)別及人臉識(shí)別， 動(dòng)態(tài)生物認(rèn)證包括： 語音識(shí)別及筆跡特征識(shí)別。Network and Information Security8.2.1 用戶名和口令認(rèn)證通過用戶名和口令進(jìn)行身份認(rèn)證是最簡單，也是最常見的認(rèn)證方式，但是認(rèn)證的安全強(qiáng)度不高。所有的多用戶系統(tǒng)、網(wǎng)絡(luò)服務(wù)器、Web的電子商務(wù)等系統(tǒng)都要求提供用戶名或標(biāo)識(shí)符（ID），還要求提供口令。系統(tǒng)將用戶輸入的口令與以前保存在系統(tǒng)中的該用戶的口令進(jìn)行比較，若完全一致則認(rèn)為認(rèn)證通過，否則不能通過認(rèn)證。根據(jù)處理方式的不同，有3種方式：口令的明文傳送、利用單向散列函數(shù)處理口令、利用單向散列函數(shù)和隨機(jī)數(shù)處理口令，這3種方式的安全強(qiáng)度依次增高，處理

5、復(fù)雜度也依次增大。 Network and Information Security口令以明文形式傳送時(shí)，沒有任何保護(hù) Network and Information Security為防止口令被竊聽，可用單向散列函數(shù)處理口令，傳輸口令的散列值，而不傳輸口令本身。 Network and Information Security傳輸口令的散列值也存在不安全因素，黑客雖然不知道口令的原文，但是他可以截獲口令的散列值，直接把散列值發(fā)送給驗(yàn)證服務(wù)器，也能驗(yàn)證通過，這是一種重放攻擊。為解決這個(gè)問題，服務(wù)器首先生成一個(gè)隨機(jī)數(shù)并發(fā)給用戶，用戶把口令散列值與該隨機(jī)數(shù)連接或異或后再用單向散列函數(shù)處理一遍，把最

6、后的散列值發(fā)給服務(wù)器。 Network and Information Security8.2.2 令牌和USB key認(rèn)證令牌實(shí)際上就是一種智能卡，私鑰存儲(chǔ)在令牌中，對(duì)私鑰的訪問用口令進(jìn)行控制。令牌沒有物理接口，無法與計(jì)算機(jī)連接，必須手動(dòng)把隨機(jī)數(shù)鍵入令牌，令牌對(duì)鍵入的隨機(jī)數(shù)用私鑰進(jìn)行數(shù)字簽名，并把簽名值的Base64編碼（一種編碼方法，可以把任意二進(jìn)制位串轉(zhuǎn)化為可打印的ASCII碼）輸出到令牌的顯示屏上，用戶再鍵入計(jì)算機(jī)。如果用時(shí)間代替隨機(jī)數(shù)，就不需要用戶鍵入隨機(jī)數(shù)了，更容易使用。在青島朗訊公司，每位員工都有一個(gè)這樣的令牌，員工在任何一個(gè)地方都可以通過身份認(rèn)證，安全地登錄公司內(nèi)部網(wǎng)絡(luò)，大大提

7、高了工作效率。令牌無法與計(jì)算機(jī)連接，使用總是不方便，可以用USB key代替。USB key通過USB接口直接連接在計(jì)算機(jī)上，不需要用戶手動(dòng)鍵入數(shù)據(jù)，比令牌方便得多。Network and Information Security8.2.3 生物識(shí)別認(rèn)證使用生物識(shí)別技術(shù)的身份認(rèn)證方法已經(jīng)廣泛使用，主要是根據(jù)用戶的圖像、指紋、氣味、聲音等作為認(rèn)證數(shù)據(jù)。有的公司為了嚴(yán)格職工考勤，購入指紋考勤機(jī)，職工上下班時(shí)必須按指紋考勤。這避免了以前使用打卡機(jī)時(shí)職工相互代替打卡的問題，雖然認(rèn)證是非常嚴(yán)格而且安全了，但職工卻有了一種不被信任感，未必是好事。在安全性要求很高的系統(tǒng)中，可以把這3種認(rèn)證方法結(jié)合起來，達(dá)到

8、最高的安全性。Network and Information Security8.3 訪 問 控 制 在計(jì)算機(jī)安全防御措施中，訪問控制是極其重要的一環(huán)，它是在身份認(rèn)證的基礎(chǔ)上，根據(jù)身份的合法性對(duì)提出的資源訪問請(qǐng)求加以控制。Network and Information Security 8.3.1 基本概念廣義地講， 所有的計(jì)算機(jī)安全都與訪問控制有關(guān)。實(shí)際上RFC 2828 定義計(jì)算機(jī)安全如下：用來實(shí)現(xiàn)和保證計(jì)算機(jī)系統(tǒng)的安全服務(wù)的措施， 特別是保證訪問控制服務(wù)的措施。訪問控制(Access Control)是指主體訪問客體的權(quán)限或能力的限制，以及限制進(jìn)入物理區(qū)域(出入控制)和限制使用計(jì)算機(jī)系統(tǒng)

9、和計(jì)算機(jī)存儲(chǔ)數(shù)據(jù)的過程(存取控制)。在訪問控制中，主體是訪問的發(fā)起者，訪問客體的活動(dòng)資源，通常為進(jìn)程、程序或用戶?？腕w則是指對(duì)其訪問必須進(jìn)行控制的資源，客體一般包括各種資源，如文件、設(shè)備、信號(hào)量等。訪問控制中的第三個(gè)元素是保護(hù)規(guī)則，它定義了主體與客體之間可能的相互作用途徑。Network and Information Security保護(hù)域的概念。每一主體(進(jìn)程)都在一特定的保護(hù)域下工作，保護(hù)域規(guī)定了進(jìn)程可以訪問的資源。每一域定義了一組客體及可以對(duì)客體采取的操作?？蓪?duì)客體操作的能力稱為訪問權(quán)(Access Right)，訪問權(quán)定義為有序?qū)Φ男问健?一個(gè)域是訪問權(quán)的集合。如域X有訪問權(quán)，則在域

10、X下運(yùn)行的進(jìn)程可對(duì)文件A執(zhí)行讀寫，但不能執(zhí)行任何其它的操作。 保護(hù)域并不是彼此獨(dú)立的。它們可以有交叉，即它們可以共享權(quán)限。域X和域Y對(duì)打印機(jī)都有寫的權(quán)限，從而產(chǎn)生了訪問權(quán)交叉現(xiàn)象。Network and Information Security圖8-3 有重疊的保護(hù)域Network and Information Security 根據(jù)訪問控制策略的不同，訪問控制一般分為自主訪問控制、強(qiáng)制訪問控制、基于角色的訪問控制、基于任務(wù)的訪問控制、使用控制等 。自主訪問控制是以前計(jì)算機(jī)系統(tǒng)中實(shí)現(xiàn)較多的訪問控制機(jī)制，它是根據(jù)訪問者的身份和授權(quán)來決定訪問模式的。強(qiáng)制訪問控制是將主體和客體分級(jí)，然后根據(jù)主體和

11、客體的級(jí)別標(biāo)記來決定訪問模式?！皬?qiáng)制”主要體現(xiàn)在系統(tǒng)強(qiáng)制主體服從訪問控制策略上?；诮巧脑L問控制的基本思想是：授權(quán)給用戶的訪問權(quán)限通常由用戶在一個(gè)組織中擔(dān)當(dāng)?shù)慕巧珌泶_定。它根據(jù)用戶在組織內(nèi)所處的角色作出訪問授權(quán)和控制，但用戶不能自主地將訪問權(quán)限傳給他人。Network and Information Security 8.3.2 自主訪問控制 自主訪問控制又稱任意訪問控制(Discretionary Access Control，DAC)，是指根據(jù)主體身份或者主體所屬組的身份或者二者的結(jié)合，對(duì)客體訪問進(jìn)行限制的一種方法。 它是訪問控制措施中常用的一種方法，這種訪問控制方法允許用戶可以自主地在

12、系統(tǒng)中規(guī)定誰可以存取它的資源實(shí)體，即用戶(包括用戶程序和用戶進(jìn)程)可選擇同其它用戶一起共享某個(gè)文件。 Network and Information Security 在各種以自主訪問控制機(jī)制進(jìn)行訪問控制的系統(tǒng)中，存取模式主要有：讀(read)，即允許主體對(duì)客體進(jìn)行讀和拷貝的操作；寫(write)，即允許主體寫入或修改信息，包括擴(kuò)展、壓縮及刪除等；執(zhí)行(execute)，就是允許將客體作為一種可執(zhí)行文件運(yùn)行，在一些系統(tǒng)中該模式還需要同時(shí)擁有讀模式；空模式(null)，即主體對(duì)客體不具有任何的存取權(quán)。 自主訪問控制缺陷Network and Information Security自主訪問控制的

13、具體實(shí)施可采用以下四種方法。(1) 目錄表(Directory List)在目錄表訪問控制方法中借用了系統(tǒng)對(duì)文件的目錄管理機(jī)制，為每一個(gè)欲實(shí)施訪問操作的主體，建立一個(gè)能被其訪問的“客體目錄表(文件目錄表)”。例如某個(gè)主體的客體目錄表可能為：客體1:權(quán)限1 客體2:權(quán)限2 客體n:權(quán)限n 。當(dāng)然，客體目錄表中各個(gè)客體的訪問權(quán)限的修改只能由該客體的合法屬主確定，不允許其它任何用戶在客體目錄表中進(jìn)行寫操作，否則將可能出現(xiàn)對(duì)客體訪問權(quán)的偽造。操作系統(tǒng)必須在客體的擁有者控制下維護(hù)所有的客體目錄。Network and Information Security目錄表訪問控制機(jī)制的優(yōu)點(diǎn)是容易實(shí)現(xiàn)，每個(gè)主體擁

14、有一張客體目錄表，這樣主體能訪問的客體及權(quán)限就一目了然了，依據(jù)該表對(duì)主體和客體的訪問與被訪問進(jìn)行監(jiān)督比較簡便。缺點(diǎn)之一是系統(tǒng)開銷、浪費(fèi)較大，這是由于每個(gè)用戶都有一張目錄表，如果某個(gè)客體允許所有用戶訪問，則將給每個(gè)用戶逐一填寫文件目錄表，因此會(huì)造成系統(tǒng)額外開銷；二是由于這種機(jī)制允許客體屬主用戶對(duì)訪問權(quán)限實(shí)施傳遞并可多次進(jìn)行，造成同一文件可能有多個(gè)屬主的情形，各屬主每次傳遞的訪問權(quán)限也難以相同，甚至可能會(huì)把客體改用別名，因此使得能越權(quán)訪問的用戶大量存在，在管理上繁亂易錯(cuò)。Network and Information Security(2) 訪問控制列表(Access Control List)訪

15、問控制列表的策略正好與目錄表訪問控制相反，它是從客體角度進(jìn)行設(shè)置的、面向客體的訪問控制。每個(gè)客體有一個(gè)訪問控制列表，用來說明有權(quán)訪問該客體的所有主體及其訪問權(quán)限。訪問控制列表方式的最大優(yōu)點(diǎn)就是能較好地解決多個(gè)主體訪問一個(gè)客體的問題，不會(huì)像目錄表訪問控制那樣因授權(quán)繁亂而出現(xiàn)越權(quán)訪問。缺點(diǎn)是由于訪問控制列表需占用存儲(chǔ)空間，并且由于各個(gè)客體的長度不同而出現(xiàn)存放空間碎片，造成浪費(fèi)；每個(gè)客體被訪問時(shí)都需要對(duì)訪問控制列表從頭到尾掃描一遍，影響系統(tǒng)運(yùn)行速度和浪費(fèi)了存儲(chǔ)空間。 Network and Information Security(3) 訪問控制矩陣(Access Control Matrix)訪問

16、控制矩陣是對(duì)上述兩種方法的綜合。存取控制矩陣模型是用狀態(tài)和狀態(tài)轉(zhuǎn)換進(jìn)行定義的，系統(tǒng)和狀態(tài)用矩陣表示，狀態(tài)的轉(zhuǎn)換則用命令來進(jìn)行描述。直觀地看，訪問控制矩陣是一張表格，每行代表一個(gè)用戶(即主體)，每列代表一個(gè)存取目標(biāo)(即客體)，表中縱橫對(duì)應(yīng)的項(xiàng)是該用戶對(duì)該存取客體的訪問權(quán)集合(權(quán)集)。訪問控制矩陣原理示意圖 Network and Information Security抽象地說，系統(tǒng)的訪問控制矩陣表示了系統(tǒng)的一種保護(hù)狀態(tài)，如果系統(tǒng)中用戶發(fā)生了變化，訪問對(duì)象發(fā)生了變化，或者某一用戶對(duì)某個(gè)對(duì)象的訪問權(quán)限發(fā)生了變化，都可以看作是系統(tǒng)的保護(hù)狀態(tài)發(fā)生了變化。由于訪問控制矩陣模型只規(guī)定了系統(tǒng)狀態(tài)的遷移必須有

17、規(guī)則，而沒有規(guī)定是什么規(guī)則，因此該模型的靈活性很大，但卻給系統(tǒng)埋下了潛在的安全隱患。 Network and Information Security(4) 能力表(Capability List)能力表是訪問控制矩陣的另一種表示方式。在訪問控制矩陣表中可以看到，矩陣中存在一些空項(xiàng)(空集)，這意味著有的用戶對(duì)一些客體不具有任何訪問或存取的權(quán)力 。能力表的方法是對(duì)存取矩陣的改進(jìn)，它將矩陣的每一列作為一個(gè)客體而形成一個(gè)存取表。每個(gè)存取表只由主體、權(quán)集組成，無空集出現(xiàn)。為了實(shí)現(xiàn)完善的自主訪問控制系統(tǒng)，由訪問控制矩陣提供的信息必須以某種形式保存在系統(tǒng)中，這種形式就是用訪問控制表和能力表來實(shí)施的。Net

18、work and Information Security自主訪問控制面臨的最大問題是：在自主訪問控制中，具有某種訪問權(quán)的主體能夠自行決定將其訪問權(quán)直接或間接地轉(zhuǎn)交給其它主體。自主訪問控制允許系統(tǒng)的用戶對(duì)于屬于自己的客體，按照自己的意愿，允許或者禁止其它用戶訪問。也就是說，主體擁有者對(duì)訪問的控制有一定權(quán)利。但正是這種權(quán)利使得信息在移動(dòng)過程中，其訪問權(quán)限關(guān)系會(huì)被改變。如用戶A可以將其對(duì)客體目標(biāo)O的訪問權(quán)限傳遞給用戶B，從而使不具備對(duì)O訪問權(quán)限的B也可以訪問O，這樣做很容易產(chǎn)生安全漏洞，所以自主訪問控制的安全級(jí)別很低。Network and Information Security強(qiáng)制訪問控制(M

19、andatory Access Control，MAC)是根據(jù)客體中信息的敏感標(biāo)簽和訪問敏感信息的主體的訪問等級(jí)，對(duì)客體的訪問實(shí)行限制的一種方法。它主要用于保護(hù)那些處理特別敏感數(shù)據(jù)(例如，政府保密信息或企業(yè)敏感數(shù)據(jù))的系統(tǒng)。在強(qiáng)制訪問控制中，用戶的權(quán)限和客體的安全屬性都是固定的，由系統(tǒng)決定一個(gè)用戶對(duì)某個(gè)客體能否進(jìn)行訪問。所謂“強(qiáng)制”，就是安全屬性由系統(tǒng)管理員人為設(shè)置，或由操作系統(tǒng)自動(dòng)地按照嚴(yán)格的安全策略與規(guī)則進(jìn)行設(shè)置，用戶和他們的進(jìn)程不能修改這些屬性。 8.3.3 強(qiáng)制訪問控制Network and Information Security圖8-7 強(qiáng)制訪問控制Network and Info

20、rmation Security 8.3.4 基于角色的訪問控制基于角色的訪問控制(Role-Based Access Control，RBAC)的核心思想就是：授權(quán)給用戶的訪問權(quán)限通常由用戶在一個(gè)組織中擔(dān)當(dāng)?shù)慕巧珌泶_定。 引入了“角色”這一重要的概念，所謂“角色”，是指一個(gè)或一群用戶在組織內(nèi)可執(zhí)行的操作的集合。這里的角色就充當(dāng)著主體(用戶)和客體之間的關(guān)系的橋梁。這是與傳統(tǒng)的訪問控制策略的最大區(qū)別所在。Network and Information Security圖8-8 基于角色的訪問控制一個(gè)主體可以具有多個(gè)角色，一個(gè)角色可以分給多個(gè)主體；一個(gè)角色可以訪問多個(gè)客體，一個(gè)客體可以被多個(gè)角色

21、訪問 Network and Information Security RBAC96模型 Sandhu等于1996年提出的RBAC96模型 。此后， Sandhu 和Ferraiolo等人綜合了該領(lǐng)域眾多研究者的共識(shí)，將RBAC96模型修改后形成為NIST RBAC建議標(biāo)準(zhǔn)（RBAC2001模型） Network and Information Security 基于角色的訪問控制有以下五個(gè)特點(diǎn)。 1) 以角色作為訪問控制的主體 用戶以什么樣的角色對(duì)資源進(jìn)行訪問，決定了用戶擁有的權(quán)限以及可執(zhí)行何種操作。 2) 角色繼承 為了提高效率，避免相同權(quán)限的重復(fù)設(shè)置，RBAC采用了“角色繼承”的概念，定

22、義的各類角色，它們都有自己的屬性，但可能還繼承其它角色的屬性和權(quán)限。角色繼承把角色組織起來，能夠很自然地反映組織內(nèi)部人員之間的職權(quán)、責(zé)任關(guān)系。 Network and Information Security圖8-8 角色繼承Network and Information Security 3) 最小特權(quán)原則(Least Privilege Theorem) 最小特權(quán)原則是系統(tǒng)安全中最基本的原則之一。所謂最小特權(quán)，是指“在完成某種操作時(shí)所賦予網(wǎng)絡(luò)中每個(gè)主體(用戶或進(jìn)程)的必不可少的特權(quán)”。 最小特權(quán)原則則是指“應(yīng)限定網(wǎng)絡(luò)中每個(gè)主體所必須的最小特權(quán)，確保由于可能的事故、錯(cuò)誤、網(wǎng)絡(luò)部件的篡改等原因

23、造成的損失最小”。 換句話說，最小特權(quán)原則是指用戶所擁有的權(quán)利不能超過他執(zhí)行工作時(shí)所需的權(quán)限。 Network and Information Security在RBAC中，可以根據(jù)組織內(nèi)的規(guī)章制度、職員的分工等設(shè)計(jì)擁有不同權(quán)限的角色，只有角色執(zhí)行所需要的才授權(quán)給角色。 當(dāng)一個(gè)主體需訪問某資源時(shí)，如果該操作不在主體當(dāng)前所扮演的角色授權(quán)操作之內(nèi)，該訪問將被拒絕。 最小特權(quán)原則一方面給予主體“必不可少”的特權(quán)，這就保證了所有的主體都能在所賦予的特權(quán)之下完成所需要完成的任務(wù)或操作；另一方面，它只給予主體“必不可少”的特權(quán)，這就限制了每個(gè)主體所能進(jìn)行的操作。 Network and Informati

24、on Security 4) 職責(zé)分離（主體與角色的分離） 對(duì)于某些特定的操作集，某一個(gè)角色或用戶不可能同時(shí)獨(dú)立地完成所有這些操作?！奥氊?zé)分離”可以有靜態(tài)和動(dòng)態(tài)兩種實(shí)現(xiàn)方式。靜態(tài)職責(zé)分離：只有當(dāng)一個(gè)角色與用戶所屬的其它角色彼此不互斥時(shí)，這個(gè)角色才能授權(quán)給該用戶。動(dòng)態(tài)職責(zé)分離：只有當(dāng)一個(gè)角色與一主體的任何一個(gè)當(dāng)前活躍角色都不互斥時(shí)，該角色才能成為該主體的另一個(gè)活躍角色。Network and Information Security 5) 角色容量 在創(chuàng)建新的角色時(shí)，要指定角色的容量。在一個(gè)特定的時(shí)間段內(nèi)，有一些角色只能由一定人數(shù)的用戶占用。Network and Information Sec

25、urity 基于角色的訪問控制是根據(jù)用戶在系統(tǒng)里表現(xiàn)的活動(dòng)性質(zhì)而定的，這種活動(dòng)性質(zhì)表明用戶充當(dāng)了一定的角色。 用戶訪問系統(tǒng)時(shí)，系統(tǒng)必須先檢查用戶的角色，一個(gè)用戶可以充當(dāng)多個(gè)角色，一個(gè)角色也可以由多個(gè)用戶擔(dān)任。Network and Information Security基于角色的訪問控制機(jī)制優(yōu)缺點(diǎn)：模型的優(yōu)點(diǎn)在于便于授權(quán)管理、角色劃分、RBAC能夠很容易地將組織的安全策略映射到信息系統(tǒng)中，簡化安全策略的實(shí)施、具有自我管理能力、支持?jǐn)?shù)據(jù)抽象和最小特權(quán)原則等。 基于角色的訪問控制是一種有效而靈活的安全措施，目前仍處在深入研究和廣泛使用之中。但也存在缺點(diǎn)，RBAC模型是基于主體客體觀點(diǎn)的被動(dòng)安全模

26、型,它是從系統(tǒng)的角度(控制環(huán)境是靜態(tài)的)出發(fā)保護(hù)資源。授權(quán)是靜態(tài)的,不具備動(dòng)態(tài)適應(yīng)性，這顯然使系統(tǒng)面臨極大的安全威脅，難以適應(yīng)動(dòng)態(tài)開放的網(wǎng)絡(luò)環(huán)境。 Network and Information Security8.3.5基于任務(wù)的訪問控制(Task-Based Access Control)TBAC模型是一種基于任務(wù)、采用動(dòng)態(tài)授權(quán)的主動(dòng)安全模型。它從應(yīng)用和企業(yè)的角度來解決安全問題。TBAC模型采用面向任務(wù)的觀點(diǎn),從任務(wù)的角度來建立安全模型和實(shí)現(xiàn)安全機(jī)制,在任務(wù)處理的過程中提供實(shí)時(shí)的安全管理。它將訪問權(quán)限與任務(wù)相結(jié)合, 客體的訪問控制權(quán)限并不是靜止不變的,而是隨著執(zhí)行任務(wù)的上下文環(huán)境的變化而變

27、化。Network and Information SecurityTBAC 的基本概念如下(1)(1)授權(quán)步驟（Authorization Step）：是指在一個(gè)工作流程中對(duì)處理對(duì)象(如辦公流程中的原文檔)的一次處理過程。它是訪問控制所能控制的最小單元。授權(quán)步由受托人集（Trustee Set）和多個(gè)許可集（Permissions Set）組成。受托人集是可被授予執(zhí)行授權(quán)步的用戶的集合，許可集則是受托集的成員被授予授權(quán)步時(shí)擁有的訪問許可。Network and Information Security(2)授權(quán)單元（Authorization Unit）：授權(quán)單元是由一個(gè)或多個(gè)授權(quán)步驟組成的

28、單元，它們?cè)谶壿嬌鲜窍嗷ヂ?lián)系的。授權(quán)單元分為一般授權(quán)單元和復(fù)合授權(quán)單元。一般授權(quán)單元內(nèi)的授權(quán)步驟按順序依次執(zhí)行，復(fù)合授權(quán)單元內(nèi)部的每個(gè)授權(quán)步驟緊密聯(lián)系，其中任何一個(gè)授權(quán)步驟失敗都會(huì)導(dǎo)致整個(gè)單元的失敗。Network and Information SecurityTBAC 的基本概念如下(2)(3)任務(wù)（Task）：任務(wù)是工作流程中的一個(gè)邏輯單元。它是一個(gè)可區(qū)分的動(dòng)作，可能與多個(gè)用戶相關(guān)，也可能包括幾個(gè)子任務(wù)。一個(gè)任務(wù)包含如下特征：長期存在；可能包括多個(gè)子任務(wù)；完成一個(gè)子任務(wù)可能需要不同的人。Network and Information Security(4)依賴（Dependency）：依

29、賴是指授權(quán)步驟之間或授權(quán)單元之間的相互關(guān)系，包括順序依賴、失敗依賴、分權(quán)依賴和代理依賴。依賴反映了基于任務(wù)的訪問控制的原則。Network and Information Security圖3-3 TBAC模型Network and Information SecurityTBAC 的優(yōu)缺點(diǎn)TBAC的主動(dòng)、動(dòng)態(tài)等特性,使其廣泛應(yīng)用于工作流、分布式處理、多點(diǎn)訪問控制的信息處理和事務(wù)管理系統(tǒng)的決策制定等方面。盡管TBAC具備許多特點(diǎn),但當(dāng)應(yīng)用于復(fù)雜的企業(yè)環(huán)境時(shí),就會(huì)暴露出自身的缺陷。例如在實(shí)際的企業(yè)環(huán)境中,角色是一個(gè)非常重要的概念,但TBAC中并沒有將角色與任務(wù)清楚地分離開來,也不支持角色的層次等

30、級(jí)，也無法表示職責(zé)分離約束；另外,訪問控制并非都是主動(dòng)的,也有屬于被動(dòng)形式的,但TBAC并不支持被動(dòng)訪問控制，同時(shí)，任務(wù)的劃分也不明確。Network and Information Security2.3.6基于任務(wù)和角色的訪問控制模型（TRBAC）TRBAC是一種動(dòng)態(tài)授權(quán)的主動(dòng)安全模型，它將從系統(tǒng)角度出發(fā)保護(hù)資源的RBAC模型和從應(yīng)用和企業(yè)層角度出發(fā)解決安全問題的TBAC模型結(jié)合在一起，結(jié)合二者的優(yōu)點(diǎn)而構(gòu)建的訪問控制模型。其主要思想是將角色與任務(wù)相關(guān)聯(lián),然后再給任務(wù)賦予相關(guān)的權(quán)限。這樣,在工作流應(yīng)用訪問控制時(shí),權(quán)限與任務(wù)相關(guān)聯(lián)的主要目的是實(shí)現(xiàn)對(duì)權(quán)限的動(dòng)態(tài)管理,而將角色與任務(wù)相關(guān)聯(lián)有利于管理

31、人員掌握角色所執(zhí)行的任務(wù)和客體之間的相關(guān)信息。在更新角色的權(quán)限時(shí),以任務(wù)為中介十分便于管理人員對(duì)角色的管理。Network and Information SecurityTRBAC同時(shí)擁有角色與任務(wù)兩個(gè)同等重要元素，符合企業(yè)環(huán)境中職員通過接受任務(wù)而進(jìn)行工作的思想。實(shí)現(xiàn)了動(dòng)靜結(jié)合的訪問控制，使角色的操作、維護(hù)和任務(wù)的管理變得簡單方便,也使得系統(tǒng)變得更為安全。Network and Information SecurityTRBAC基于任務(wù)-角色層次模型 Network and Information Security但TRBAC模型也存在其不足，其授權(quán)策略大都是基于工作流應(yīng)用環(huán)境出發(fā)考慮的訪問

32、控制。雖然改進(jìn)了的TRBAC模型既滿足了機(jī)密性，又滿足了有效性，但對(duì)于現(xiàn)今高動(dòng)態(tài)、開化式的網(wǎng)絡(luò)環(huán)境還存在諸多不足，例如客體屬性的更新不僅可能發(fā)生在主體訪問客體前，而且可能在整個(gè)訪問的過程中和訪問后也需要有更新。主體在訪問客體時(shí)需要完成一定的操作行為，系統(tǒng)才允許訪問?；蛘咴L問需要滿足執(zhí)行環(huán)境和系統(tǒng)狀態(tài)才可以進(jìn)行。而這些需求在TRBAC模型中還不能完全解決，缺少對(duì)現(xiàn)代訪問控制領(lǐng)域的若干新概念的支持。Network and Information Security8.3.7 使用控制 （UCONABC） Network and Information Security表8-1 16種UCONABC核

33、心模型 0(屬性不可變)1(屬性訪問前更新)2(屬性過程更新)3(屬性訪問后更新)預(yù)先授權(quán)YYNY過程授權(quán)YYYY預(yù)先責(zé)任YYNY過程責(zé)任YYYY預(yù)先條件YNNN過程條件YNNNNetwork and Information Security8.3.8 訪問控制小結(jié) 訪問控制主要優(yōu)點(diǎn)主要缺點(diǎn)DAC是基于授權(quán)者的訪問控制手段，訪問控制靈活安全可靠性低，會(huì)造成存儲(chǔ)空間和查找時(shí)間的浪費(fèi)MAC基于管理的信息流控制原則，支持多種級(jí)別的安全梯度，具有高安全性授權(quán)方式不太靈活，安全級(jí)別劃分困難RBAC是一種策略中立的訪問控制方式，授權(quán)靈活，使用繼承和約束的概念，能容易的融合新技術(shù)最小權(quán)限約束還不夠細(xì)化，效率

34、低且動(dòng)態(tài)適應(yīng)性差，只能用于被動(dòng)訪問控制TBAC基于活動(dòng)的動(dòng)態(tài)安全模型，訪問控制的客體是動(dòng)態(tài)變化的，且權(quán)限的使用也是有時(shí)效的角色和任務(wù)沒有分離，且只能進(jìn)行主動(dòng)的訪問控制TRBAC是一種動(dòng)態(tài)授權(quán)的主動(dòng)安全模型，同時(shí)擁有角色與任務(wù)兩個(gè)同等重要元素，實(shí)現(xiàn)了動(dòng)靜結(jié)合的訪問控制思想只針對(duì)于工作流來考慮，缺少對(duì)任務(wù)特性的細(xì)化，以及不能適應(yīng)系統(tǒng)的多樣性訪問控制需求UCON是一種將傳統(tǒng)的訪問控制、信任管理和數(shù)字版權(quán)管理集成的一個(gè)訪問控制框架。在定義了授權(quán)、義務(wù)、和條件的同時(shí)提出了連續(xù)性易變性兩大特性。豐富和完善了訪問控制，適用于現(xiàn)代開放式網(wǎng)絡(luò)環(huán)境。還只是一種高度抽象的參考性的基本框架模型，它闡述了使用控制中最基

35、本的問題，但是不涉及到管理，委托授權(quán)，以及其它后期工作中出現(xiàn)的諸如并發(fā)性等重要問題Network and Information Security8.4 案例：企業(yè)Web系統(tǒng)中的RBAC 這個(gè)簡單的例子包括3個(gè)模塊：模塊管理、角色管理和用戶管理，采用以角色為中心的安全模型。此模型將系統(tǒng)的模塊權(quán)限和用戶分開，使用角色作為一個(gè)中間層。用戶訪問模塊時(shí)，通過其所對(duì)應(yīng)的角色對(duì)該模塊的訪問權(quán)限來獲得訪問模塊的權(quán)限，通過這種分層的管理模式可以實(shí)現(xiàn)有效的訪問控制。Network and Information Security角色1角色2部門1部門2部門3部門4用戶1用戶2用戶3模塊1模塊2模塊3模塊4圖8-

36、10 用戶、角色和模塊間的關(guān)系Network and Information Security說明角色是為系統(tǒng)安全而設(shè)計(jì)的抽象層，同一角色里的成員具有相同的模塊操作權(quán)限。但是角色不像機(jī)構(gòu)部門那樣有固定成員和組織結(jié)構(gòu)，并非真正的實(shí)體，可以根據(jù)需求任意地建立和刪除角色。角色的成員為部門員工，角色的成員也可以不受限制進(jìn)行任意組合。通過這種設(shè)計(jì)思想形成三層安全模型，第一層為用戶，第二層為角色，第三層為系統(tǒng)模塊。用戶和角色之間建立關(guān)系，角色和模塊權(quán)限之間建立關(guān)系，而用戶和模塊權(quán)限之間沒有直接的關(guān)系。 Network and Information Security用戶、角色和模塊數(shù)據(jù)訪問結(jié)構(gòu)圖用戶信息用

37、戶角色關(guān)系信息角色信息角色模塊信息模塊信息數(shù)據(jù)庫Network and Information Security8.5 系統(tǒng)審計(jì) 美國國防部(DOD)在20世紀(jì)70年代支持的一項(xiàng)內(nèi)容廣泛的研究計(jì)劃，該計(jì)劃研究安全策略、安全指南和“可信系統(tǒng)”的控制?？尚畔到y(tǒng)定義為：“能夠提供足夠的硬件和軟件，以確保系統(tǒng)同時(shí)處理一定范圍內(nèi)的敏感或分級(jí)信息”。因此，可信系統(tǒng)主要是為軍事和情報(bào)組織在同一計(jì)算機(jī)系統(tǒng)中存放不同敏感級(jí)別(通常對(duì)應(yīng)于相應(yīng)的分級(jí))信息而提出的。審計(jì)機(jī)制被納入可信計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)則(“橙皮書”)中。Network and Information Security 8.5.1 審計(jì)及審計(jì)跟蹤 審計(jì)

38、(Audit)是指產(chǎn)生、記錄并檢查按時(shí)間順序排列的系統(tǒng)事件記錄的過程，它是一個(gè)被信任的機(jī)制 。同時(shí)，它也是計(jì)算機(jī)系統(tǒng)安全機(jī)制的一個(gè)不可或缺的部分，對(duì)于C2及其以上安全級(jí)別的計(jì)算機(jī)系統(tǒng)來講，審計(jì)功能是其必備的安全機(jī)制。而且，審計(jì)是其它安全機(jī)制的有力補(bǔ)充，它貫穿計(jì)算機(jī)安全機(jī)制實(shí)現(xiàn)的整個(gè)過程，從身份認(rèn)證到訪問控制這些都離不開審計(jì)。同時(shí)，審計(jì)還是后來人們研究的入侵檢測系統(tǒng)的前提。Network and Information Security 審計(jì)跟蹤(Audit Trail ）是系統(tǒng)活動(dòng)的記錄，這些記錄足以重構(gòu)、評(píng)估、審查環(huán)境和活動(dòng)的次序，這些環(huán)境和活動(dòng)是同一項(xiàng)事務(wù)的開始到最后結(jié)束期間圍繞或?qū)е乱豁?xiàng)

39、操作、一個(gè)過程或一個(gè)事件相關(guān)的。 從這個(gè)意義來講，審計(jì)跟蹤可用來實(shí)現(xiàn)：確定和保持系統(tǒng)活動(dòng)中每個(gè)人的責(zé)任；重建事件；評(píng)估損失；監(jiān)測系統(tǒng)問題區(qū)；提供有效的災(zāi)難恢復(fù)；阻止系統(tǒng)的不正當(dāng)使用等。Network and Information Security 作為一種安全機(jī)制，計(jì)算機(jī)系統(tǒng)的審計(jì)機(jī)制的安全目標(biāo)有： 審查基于每個(gè)目標(biāo)或每個(gè)用戶的訪問模式，并使用系統(tǒng)的保護(hù)機(jī)制。 發(fā)現(xiàn)試圖繞過保護(hù)機(jī)制的外部人員和內(nèi)部人員。 發(fā)現(xiàn)用戶從低等級(jí)到高等級(jí)的訪問權(quán)限轉(zhuǎn)移。 制止用戶企圖繞過系統(tǒng)保護(hù)機(jī)制的嘗試。 作為另一種機(jī)制確保記錄并發(fā)現(xiàn)用戶企圖繞過保護(hù)的嘗試，為損失控制提供足夠的信息。Network and Info

40、rmation Security 8.5.2 安全審計(jì) 審計(jì)是記錄用戶使用計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)進(jìn)行所有活動(dòng)的過程，它是提高安全性的重要工具。安全審計(jì)跟蹤機(jī)制的價(jià)值在于：經(jīng)過事后的安全審計(jì)可以檢測和調(diào)查安全漏洞。 (1) 它不僅能夠識(shí)別誰訪問了系統(tǒng)，還能指出系統(tǒng)正被怎樣的使用。 (2) 對(duì)于確定是否有網(wǎng)絡(luò)攻擊的情況，審計(jì)信息對(duì)于確定問題和攻擊源很重要。 Network and Information Security (3) 系統(tǒng)事件的記錄能夠更迅速和系統(tǒng)地識(shí)別問題，并且它是后面階段事故處理的重要依據(jù)。 (4) 通過對(duì)安全事件的不斷收集與積累并且加以分析，有選擇性地對(duì)其中的某些站點(diǎn)或用戶進(jìn)行審計(jì)跟蹤，

41、以提供發(fā)現(xiàn)可能產(chǎn)生破壞性行為的有力證據(jù)。Network and Information Security 安全審計(jì)就是對(duì)系統(tǒng)的記錄與行為進(jìn)行獨(dú)立的品評(píng)考查，目的是： (1) 測試系統(tǒng)的控制是否恰當(dāng)，保證與既定安全策略和操作能夠協(xié)調(diào)一致。 (2) 有助于作出損害評(píng)估。 (3) 對(duì)控制、策略與規(guī)程中特定的改變作出評(píng)價(jià)。 Network and Information Security 安全審計(jì)跟蹤將考慮： 1) 要選擇記錄什么信息 審計(jì)記錄必須包括網(wǎng)絡(luò)中任何用戶、進(jìn)程、實(shí)體獲得某一級(jí)別的安全等級(jí)的嘗試：包括注冊(cè)、注銷，超級(jí)用戶的訪問，產(chǎn)生的各種票據(jù)，其它各種訪問狀態(tài)的改變，并特別注意公共服務(wù)器上的

42、匿名或客人賬號(hào)。 實(shí)際收集的數(shù)據(jù)隨站點(diǎn)和訪問類型的不同而不同。通常要收集的數(shù)據(jù)包括：用戶名和主機(jī)名，權(quán)限的變更情況，時(shí)間戳，被訪問的對(duì)象和資源。當(dāng)然這也依賴于系統(tǒng)的空間。(注意不要收集口令信息)Network and Information Security 2) 在什么條件下記錄信息 3) 為了交換安全審計(jì)跟蹤信息所采用的語法和語義定義 收集審計(jì)跟蹤的信息，通過列舉被記錄的安全事件的類別(例如明顯違反安全要求的或成功完成操作的)，應(yīng)能適應(yīng)各種不同的需要。已知安全審計(jì)的存在可對(duì)某些潛在的侵犯安全的攻擊源起到威攝作用。Network and Information Security 審計(jì)是系統(tǒng)安

43、全策略的一個(gè)重要組成部分，它貫穿整個(gè)系統(tǒng)不同安全機(jī)制的實(shí)現(xiàn)過程，它為其它安全策略的改進(jìn)和完善提供了必要的信息。而且，它的深入研究為后來的一些安全策略的誕生和發(fā)展提供了契機(jī)。后來發(fā)展起來的入侵檢測系統(tǒng)就是在審計(jì)機(jī)制的基礎(chǔ)上得到啟示而迅速發(fā)展起來的。Network and Information Security8.6 PMI訪問控制就是控制用戶訪問資源的權(quán)限，如何證明用戶所具有的權(quán)限正是PMI要做的事情。8.6.1 PMI概述授權(quán)管理基礎(chǔ)設(shè)施PMI(Privilege Management Infrastructure)是國家信息安全基礎(chǔ)設(shè)施(National Information Secur

44、ity Infrastructure，NISI)的一個(gè)重要組成部分。目標(biāo)是：向用戶和應(yīng)用程序提供授權(quán)管理服務(wù) 提供用戶身份到應(yīng)用授權(quán)的映射功能提供與實(shí)際應(yīng)用處理模式相對(duì)應(yīng)的、與具體應(yīng)用系統(tǒng)開發(fā)和管理無關(guān)的授權(quán)和訪問控制機(jī)制簡化具體應(yīng)用系統(tǒng)的開發(fā)與維護(hù)。Network and Information Security屬性證書授權(quán)管理基礎(chǔ)設(shè)施PMI是一個(gè)由屬性證書(Attribute Certificate,AC)、屬性權(quán)威(Attribute Authority,AA)、屬性證書庫等部件構(gòu)成的綜合系統(tǒng)，用來實(shí)現(xiàn)權(quán)限和證書的產(chǎn)生、管理、存儲(chǔ)、分發(fā)和撤銷等功能。PMI使用屬性證書表示和容納權(quán)限信息，

45、通過管理證書的生命周期實(shí)現(xiàn)對(duì)權(quán)限生命周期的管理。屬性證書的申請(qǐng)、簽發(fā)、撤銷、驗(yàn)證流程對(duì)應(yīng)著權(quán)限的申請(qǐng)、發(fā)放、撤銷、使用和驗(yàn)證的過程。而且，使用屬性證書進(jìn)行權(quán)限管理使得權(quán)限的管理不必依賴某個(gè)具體的應(yīng)用，而且利于權(quán)限的安全分布式應(yīng)用。Network and Information SecurityPMI與PKI的比較授權(quán)管理基礎(chǔ)設(shè)施PMI以資源管理為核心，對(duì)資源的訪問控制權(quán)統(tǒng)一交由授權(quán)機(jī)構(gòu)統(tǒng)一處理，即由資源的所有者來進(jìn)行訪問控制。同公鑰基礎(chǔ)設(shè)施PKI相比，兩者主要區(qū)別在于：PKI證明用戶是誰，而PMI證明這個(gè)用戶有什么權(quán)限，能干什么，而且授權(quán)管理基礎(chǔ)設(shè)施PMI需要公鑰基礎(chǔ)設(shè)施PKI為其提供身份認(rèn)證

46、。PMI與PKI在結(jié)構(gòu)上是非常相似的。信任的基礎(chǔ)都是有關(guān)權(quán)威機(jī)構(gòu)，由他們決定建立身份認(rèn)證系統(tǒng)和屬性特權(quán)機(jī)構(gòu)。Network and Information Security在PKI中，由有關(guān)部門建立并管理根CA，下設(shè)各級(jí)CA、RA和其它機(jī)構(gòu)；在PMI中，由有關(guān)部門建立權(quán)威源點(diǎn)SOA(Source Of Authority)，下設(shè)分布式的AA和其它機(jī)構(gòu)。PMI實(shí)際上提出了一個(gè)新的信息保護(hù)基礎(chǔ)設(shè)施，能夠與PKI和目錄服務(wù)緊密地集成，并系統(tǒng)地建立起對(duì)認(rèn)可用戶的特定授權(quán)，對(duì)權(quán)限管理進(jìn)行了系統(tǒng)的定義和描述，完整地提供了授權(quán)服務(wù)所需過程。Network and Information Security8.

47、6.2 PMI技術(shù)的授權(quán)管理模式及其優(yōu)點(diǎn)授權(quán)服務(wù)體系主要是為網(wǎng)絡(luò)空間提供用戶操作授權(quán)的管理，即在虛擬網(wǎng)絡(luò)空間中的用戶角色與最終應(yīng)用系統(tǒng)中用戶的操作權(quán)限之間建立一種映射關(guān)系。目前建立授權(quán)服務(wù)體系的關(guān)鍵技術(shù)主要是授權(quán)管理基礎(chǔ)設(shè)施PMI技術(shù)。PMI技術(shù)通過數(shù)字證書機(jī)制來管理用戶的授權(quán)信息，并將授權(quán)管理功能從傳統(tǒng)的應(yīng)用系統(tǒng)中分離出來，以獨(dú)立服務(wù)的方式面向應(yīng)用系統(tǒng)提供授權(quán)管理服務(wù)。Network and Information Security由于數(shù)字證書機(jī)制提供了對(duì)授權(quán)信息的安全保護(hù)功能，因此，作為用戶授權(quán)信息存放載體的屬性證書同樣可以通過公開方式對(duì)外發(fā)布。 在PMI中主要使用基于角色的訪問控制。其中

48、角色提供了間接分配權(quán)限的方法。在實(shí)際應(yīng)用中，個(gè)人被簽發(fā)角色分配證書使之具有一個(gè)或多個(gè)對(duì)應(yīng)的角色，而每個(gè)角色具有的權(quán)限通過角色定義來說明，而不是將權(quán)限放在屬性證書中分配給個(gè)人。這種間接的權(quán)限分配方式使得角色權(quán)限更新時(shí)，不必撤銷每一個(gè)屬性證書，極大地減小了管理開銷。Network and Information Security授權(quán)管理體系將授權(quán)管理功能從傳統(tǒng)的信息應(yīng)用系統(tǒng)中剝離出來，可以為應(yīng)用系統(tǒng)的設(shè)計(jì)、開發(fā)和運(yùn)行管理提供很大的便利。應(yīng)用系統(tǒng)中與授權(quán)處理相關(guān)的地方全部改成對(duì)授權(quán)服務(wù)的調(diào)用，因此，可以在不改變應(yīng)用系統(tǒng)的前提下完成對(duì)授權(quán)模型的轉(zhuǎn)換，進(jìn)一步增加了授權(quán)管理的靈活性。同時(shí)，通過采用屬性證書

49、的委托機(jī)制，授權(quán)管理體系可進(jìn)一步提供授權(quán)管理的靈活性。與信任服務(wù)系統(tǒng)中的證書策略機(jī)制類似，授權(quán)管理系統(tǒng)中也存在安全策略管理的問題。同一授權(quán)管理系統(tǒng)中將遵循相同的安全策略提供授權(quán)管理服務(wù)，不同的授權(quán)管理系統(tǒng)之間的互通必須以策略的一致性為前提。Network and Information Security基于PMI技術(shù)的授權(quán)管理模式主要存在以下三個(gè)方面的優(yōu)勢：1.授權(quán)管理的靈活性基于PMI技術(shù)的授權(quán)管理模式可以通過屬性證書的有效期以及委托授權(quán)機(jī)制來靈活地進(jìn)行授權(quán)管理，從而實(shí)現(xiàn)了傳統(tǒng)的訪問控制技術(shù)領(lǐng)域中的強(qiáng)制訪問控制模式與自主訪問控制模式的有機(jī)結(jié)合，其靈活性是傳統(tǒng)的授權(quán)管理模式所無法比擬的。 2.

50、授權(quán)操作與業(yè)務(wù)操作相分離基于授權(quán)服務(wù)體系的授權(quán)管理模式將業(yè)務(wù)管理工作與授權(quán)管理工作完全分離，更加明確了業(yè)務(wù)管理員和安全管理員之間的職責(zé)分工，可以有效地避免由于業(yè)務(wù)管理人員參與到授權(quán)管理活動(dòng)中而可能帶來的一些問題。加強(qiáng)了授權(quán)管理的可信度。3.多授權(quán)模型的靈活支持基于PMI技術(shù)的授權(quán)管理模式將整個(gè)授權(quán)管理體系從應(yīng)用系統(tǒng)中分離出來，授權(quán)管理模塊自身的維護(hù)和更新操作將與具體的應(yīng)用系統(tǒng)無關(guān)。Network and Information Security8.6.3 PMI系統(tǒng)的架構(gòu)PMI授權(quán)服務(wù)體系以高度集中的方式管理用戶和為用戶授權(quán)，并且采用適當(dāng)?shù)挠脩羯矸菪畔韺?shí)現(xiàn)用戶認(rèn)證，主要是PKI體系下的數(shù)字證

51、書，也包括動(dòng)態(tài)口令或者指紋認(rèn)證技術(shù)。安全平臺(tái)將授權(quán)管理功能從應(yīng)用系統(tǒng)中分離出來，以獨(dú)立和集中服務(wù)的方式面向整個(gè)網(wǎng)絡(luò)，統(tǒng)一為各應(yīng)用系統(tǒng)提供授權(quán)管理服務(wù)。PMI在體系上可以分為三級(jí)，分別是信任源點(diǎn)SOA中心、屬性權(quán)威機(jī)構(gòu)AA中心和AA代理點(diǎn)。在實(shí)際應(yīng)用中，這種分級(jí)體系可以根據(jù)需要進(jìn)行靈活配置，可以是三級(jí)、二級(jí)或一級(jí)。 Network and Information Security圖8.18 授權(quán)管理系統(tǒng)的總體架構(gòu)示意圖SOAAAAAAA代理點(diǎn)AA代理點(diǎn)AA代理點(diǎn)AA代理點(diǎn)訪問控制執(zhí)行者Network and Information Security授權(quán)管理系統(tǒng)說明 1.權(quán)威源點(diǎn)SOA權(quán)威源點(diǎn)(S

52、OA中心)是整個(gè)授權(quán)管理體系的中心業(yè)務(wù)節(jié)點(diǎn)，也是整個(gè)PMI的最終信任源和最高管理機(jī)構(gòu)。SOA中心的職責(zé)主要包括：授權(quán)管理策略的管理、應(yīng)用授權(quán)受理、AA中心的設(shè)立審核及管理和授權(quán)管理體系業(yè)務(wù)的規(guī)范化等。2.屬性權(quán)威機(jī)構(gòu)AA屬性權(quán)威機(jī)構(gòu)AA中心是PMI的核心服務(wù)節(jié)點(diǎn)，是對(duì)應(yīng)于具體應(yīng)用系統(tǒng)的授權(quán)管理分系統(tǒng)，由具有設(shè)立AA中心業(yè)務(wù)需求的各應(yīng)用單位負(fù)責(zé)建設(shè)，并與SOA中心通過業(yè)務(wù)協(xié)議達(dá)成相互的信任關(guān)系。AA中心的職責(zé)主要包括：應(yīng)用授權(quán)受理、屬性證書的發(fā)放和管理，以及AA代理點(diǎn)的設(shè)立審核和管理等。AA中心需要為其所發(fā)放的所有屬性證書維持一個(gè)歷史記錄和更新記錄。Network and Information Security授權(quán)管理系統(tǒng)說明 3.AA代理點(diǎn)AA代理點(diǎn)是PMI的用戶代理節(jié)點(diǎn)，也稱為資源管理中心，是與具體應(yīng)用用戶的接口。是對(duì)應(yīng)AA中心的附屬機(jī)構(gòu)，接受AA中心的直接管理，由各AA中心負(fù)責(zé)建設(shè)，報(bào)經(jīng)主管的SOA中心同意，并簽發(fā)相應(yīng)的證書。AA代理點(diǎn)的設(shè)立和數(shù)目由各AA中心根據(jù)自身的業(yè)務(wù)發(fā)展需求而定。AA代理點(diǎn)的職責(zé)主要包括應(yīng)用授權(quán)服務(wù)代理和應(yīng)用授